Przyznając dostęp niestandardowe dane wymiaru
After a Microsoft SQL Server 2005 Analysis Services (SSAS) database role has read or read/write permission to the dimensions in a cube, you can define security on each dimension attribute member (also called dimension security).Domyślnie rola bazy danych ma dostęp do wszystkich członków wszystkich atrybutów wymiar moduł, do których mają dostęp do odczytu.Można zdefiniować określonego zestaw składników atrybut dla każdego atrybut wymiar, do którego członkowie roli mieć określone prawa dostępu (AllowedSet) lub do którego specjalnie odmowy prawa dostępu (DeniedSet).Można także zdefiniować domyślny element członkowski dla każdego hierarchia atrybut; Domyślnie wszystkie jest domyślny element członkowski.Jeżeli odmówisz uprawnienia do odczytu do niektórych atrybutu element członkowskis, warto mieć wartość wszystkie element członkowski jest sumą element członkowskis, do którego rolę element członkowskis mają dostęp do niż wartość zagregowana wszystkich element członkowskis hierarchia atrybutowa.Aby określić zachowanie, włączyć VisualTotals.Po włączeniu VisualTotals wartość zagregowana jest obliczany w kwerendzie czas zamiast pobierane z pre-calculated wartość zagregowana.
Ostrzeżenie
Typ dostępu członkowie roli wymiar jest oparty na dostęp wymiar przyznane odczytu lub Odczyt i zapis.
Opis właściwości IsAllowed
IsAllowed Właściwość określa, czy rola bazy danych umożliwia dostęp do atrybut członków.Domyślnie rola bazy danych, który ma dostęp do wymiar nie może uzyskać dostępu do hierarchii atrybut.
Opis właściwości AllowedSet
AllowedSet właściwość używa wyrażenie Multidimensional Expressions (MDX), aby określić składniki atrybut, które mogą być przeglądane przez rola bazy danych (zestaw dozwolone).Dozwolone zestaw może zawierać (domyślnie), wszystkich lub niektórych członków atrybut.Jeśli dostęp do atrybut, a nie definiuje wszystkich członków zestaw dozwolonych, zostanie przyznany dostęp do wszystkich członków.Jeśli dostęp do atrybut i zdefiniować określonego zestaw składników atrybut, widoczne są tylko wyraźnie dozwolone członków.Definiując zestaw dozwolonych mogą ograniczyć widoczność członkowie atrybut po zdefiniowaniu zestawu dozwolonych.
Ograniczanie dozwolonych zestaw jeden atrybut ma wpływ na widoczność innych atrybutów.Załóżmy, że zestaw dozwolonych dla Customer atrybut zawiera tylko niektórzy członkowie atrybut, ale zestaw dozwolonych dla City zawiera atrybut wszystkich członków atrybutu.W tym przypadek tylko członkowie City atrybut, który będzie widoczne są tych miast, których klienci dozwolonych zestaw Customer atrybutu.W przypadku miasta, który ma odbiorców składników atrybut dla tego miasta nie będzie widoczny.Innymi słowy element członkowski atrybut można tylko widoczne jeśli element członkowski członkowski atrybut z co najmniej jeden element członkowski zestaw dozwolonych.
Ostrzeżenie
Po zdefiniowaniu pustego zestaw składników atrybutów żadnych członków atrybut będzie widoczna dla rola bazy danych.Braku dozwolonych zestaw nie jest interpretowany jako pusty zestaw.
Opis właściwości DeniedSet
DeniedSet właściwość używa wyrażenie MDX do określenia składników atrybut, których rola bazy danych jest jawnie odmówiono dostępu (zestaw odmowa).Odmowa zestaw może zawierać nie, wszystkie (domyślnie) lub niektórych członków atrybut.Domyślnie nie odmowy zestaw jest zdefiniowany.
Kiedy odmowa zestaw zawiera określony zestaw składników atrybut, rola bazy danych odmowa dostępu tylko do tych określonych elementów członkowskich.Definiując zestaw odmowa może wpływać na ułatwienia dostępu składników atrybut dodane po zdefiniowaniu zestawu odmowy.
Po zdefiniowaniu określonego zestawu atrybutów w zestawie odmowa efekt odmowa zestaw na ułatwienia dostępu innych atrybutów zależy, czy ApplyDenied właściwość jest włączona.Załóżmy, że istnieje zestaw odmowa na State atrybut i ApplyDenied właściwość jest włączona.W takim przypadek rola bazy danych nie będą mogli dostęp do dowolnych Customer atrybuty dla tych państw w obrębie zestaw odmowy.
Opis właściwości ApplyDenied
ApplyDenied Właściwość wskazuje, czy używane są członkami zestaw odmowa przy określaniu czy członkowie hierarchia atrybutu są widoczne dla rola bazy danych.Domyślnie ApplyDenied właściwość jest zestaw do True (włączone), dla każdej hierarchii atrybut.
Ostrzeżenie
W przeciwieństwie do odmowy zestaw zależy od których wpływają na ApplyDenied właściwość zestawu dozwolone jest zawsze stosowany przy określaniu czy członkowie hierarchia atrybutu są widoczne dla rola bazy danych.
Gdy ApplyDenied właściwość jest włączona i jest odmowa zestaw, rola bazy danych nie będą mogli uzyskać dostęp do wszystkich członków hierarchia atrybutu Jeśli tej hierarchii zawiera któregokolwiek z członków w zestawie odmowa.Na przykład ApplyDenied właściwość jest włączona i odmowa zestaw składa się Państw w State atrybut.Oprócz nie mogli uzyskać dostępu do State atrybut, rola bazy danych nie można uzyskać dostępu do Customers atrybut dla każdego Państwa w obrębie zestaw odmowy.
Gdy ApplyDenied właściwość jest wyłączona i istnieje zestaw odmowy, rola bazy danych będą mogli uzyskać dostęp do wszystkich członków hierarchia atrybutu , nawet jeśli tej hierarchii zawiera któregokolwiek z członków w zestawie odmowa.Na przykład ApplyDenied właściwość jest wyłączona i odmowa zestaw składa się Państw w State atrybut.Chociaż rola bazy danych nie będzie w stanie uzyskać dostępu do State atrybut rola bazy danych będą nadal mieć dostęp do Customers atrybut dla każdego Państwa w obrębie zestaw odmowy.
Opis właściwości VisualTotals
VisualTotalswłaściwość Wskazuje, czy wartości zagregowane komórek, które są wyświetlane są obliczane według wartości wszystkich komórek lub zgodnie z wartości komórek, które są widoczne dla rola bazy danych.
Domyślnie VisualTotals właściwość jest wyłączona (zestaw do False).To ustawienie domyślne maksymalizuje wydajność, ponieważ Usługi Analysis Services można szybko obliczyć sumę wartości wszystkich komórek, zamiast poświęcać czas zaznaczenie, które komórki wartości do obliczenia.
Jednakże posiadające VisualTotals Właściwość wyłączone można utworzyć problem zabezpieczeń, jeśli użytkownik może używać zagregowane komórka wartości było wywnioskowanie wartości dla atrybut członków, do których rola bazy danych użytkownika nie ma dostępu.Na przykład Usługi Analysis Services używa wartości dla trzech członków atrybut do obliczania wartości komórka zagregowane.rola bazy danych ma dostęp do wyświetlenia dwóch członków tych trzech atrybut.Użycie wartości zagregowane komórka, członkiem tej rola bazy danych będzie mogła wywnioskowanie wartość dla trzeciego element członkowski atrybut.
Jeśli użytkownik może wywnioskowanie wartości dla atrybut członków, których rola bazy danych nie ma dostępu, ze względów bezpieczeństwa obejmuje włączenie (zestaw do True) VisualTotals właściwość dla atrybut.Po włączeniu VisualTotals właściwość rola bazy danych można wyświetlać tylko sumy zagregowanych elementów członkowskich wymiar, do których rola ma uprawnienie.Na przykład włączenie VisualTotals właściwość oznacza, że rola bazy danych zostaną wyświetlone podsumowania łącznego, który zawiera tylko te Państwa (oznacza to, że członkowie State atrybut), które są widoczne dla roli.Podsumowania łącznego nie będzie zawierać wartości dla wszystkich Państw.
Opis właściwości DefaultMember
DefaultMember Właściwość określa zestaw danych, który jest zwracany do klient, gdy atrybut nie są jawnie znajduje się w kwerendzie.Gdy atrybut nie jest jawnie włączone Usługi Analysis Services używa jednego z następujących członków domyślną atrybutu:
Jeśli rola bazy danych definiuje domyślny element członkowski dla atrybut, Usługi Analysis Services używa tego członka domyślnego.
Jeśli rola bazy danych nie definiuje domyślny element członkowski dla atrybut, Usługi Analysis Services używa domyślny element członkowski, który jest zdefiniowany dla samego atrybut.domyślny element członkowski Dla atrybutu, chyba że określono inaczej, jest All Członkowskich (chyba, że atrybut jest zdefiniowany jako nie kumulowalnego).
Na przykład określa rola bazy danych Male jako domyślny element członkowski Gender atrybut.Chyba że kwerenda zarówno jawnie zawiera Gender atrybut i określa różnych elementów członkowskich dla tego atrybut Usługi Analysis Services zwróci zestaw danych zawierającego tylko klienci płci męskiej. Aby uzyskać więcej informacji dotyczących ustawiania domyślny element członkowski, zobacz Definiowanie domyślnego elementu członkowskiego.
Ustawianie uprawnień dostępu dla elementów członkowskich wymiaru
Przed ustawiania uprawnień dostępu do element członkowski wymiar, można przejrzeć przykłady różnych dostępu, które ustawienia mają wpływ na zestaw wyników jest zwracana, gdy kwerenda członków.Te ustawienia na przykład można znaleźć w następujących tematach:
Przykład 3 — korzystając z wyjątkiem funkcji członkom zwolnienia z zestawu odmowa
Przykład 4 — za pomocą istnieje funkcja członkom zwolnienia z zestawu odmowa
Przykład 5 — przy użyciu funkcji, aby określić zestaw dozwolonych istnieje
Przykład 6 — za pomocą istnieje i z wyjątkiem funkcji, aby określić dozwolonych i zestawy
Po zrozumieć, jak dostęp do różnych uprawnień pracy, można udzielić tych uprawnień.Aby udzielić uprawnień dostępu do element członkowski wymiar, użytkownik musi być członkiem Usługi Analysis Services roli serwera lub członkiem Usługi Analysis Services rola bazy danych, która ma uprawnienia Pełna kontrola (Administrator).
Podczas korzystania z Business Intelligence Development Studio Aby udzielić uprawnień dostępu do element członkowski wymiar, należy użyć standardowych opcji na podstawowych karcie Dostępu do danych wymiar tab lub użyj bardziej dostosowane opcje na Zaawansowane kartę.
.gif "Ważna informacja") Ważne: |
|---|
Jeśli Microsoft lub grupy użytkowników systemu Windows należy do wielu ról bazy danych, są czynne uprawnienia dla użytkownika lub grupy dodatków przez wszystkie role bazy danych (Unia uprawnień).Jedną rola bazy danych odmawia dostępu użytkownika do element członkowski atrybut, ale roli innej bazy danych przyznano dostęp użytkownika do element członkowski atrybutu, użytkownik ma dostęp do element członkowski atrybutu. |
Aby użyć karty podstawowych aby udzielić dostępu rola bazy danych do element członkowski wymiar
W SQL Server Management Studio, połącz się z wystąpienie z Usługi Analysis Services, rozwiń węzeł role do właściwego bazy danych Object Explorer, a następnie kliknij rola bazy danych (lub utworzyć nową rola bazy danych).
Kliknij Dostępu do danych niestandardowe wymiaru w Wybierz stronę okienku wybierz wymiar w wymiaru listy, a następnie wybierz Umożliwiają atrybutu na Zaawansowane kartę.
Zaznaczenie tej opcji ustawia IsAllowed Właściwość True.
W atrybutu zaznacz atrybut, dla którego chcesz określić elementy członkowskie, które powinny być rozpatrywane przez rola bazy danych.
Specjalnie odmawiać dostępu niektórym członkom atrybut, wprowadź wyrażenie MDX dla atrybut tych członków w Odmowa zestaw elementów członkowskich pole.Inni członkowie atrybut będzie widoczny.
- W szczególności Udziel dostępu tylko do niektórych członków, wprowadź wyrażenie MDX dla atrybut tych członków w Zestaw elementów członkowskich dozwolone pole.Inni członkowie atrybut będzie widoczny.
Aby udzielić dostępu rola bazy danych do element członkowski wymiar za pomocą karty Zaawansowane
W SQL Server Management Studio, połącz się z wystąpienie z Usługi Analysis Services, rozwiń węzeł role do właściwego bazy danych Object Explorer, a następnie kliknij rola bazy danych (lub utworzyć nową rola bazy danych).
Kliknij Dostępu do danych niestandardowe wymiaru w Wybierz stronę okienku wybierz wymiar w wymiaru listy, a następnie wybierz Umożliwiają atrybutu na Zaawansowane kartę.
Zaznaczenie tej opcji ustawia IsAllowed Właściwość True.
W atrybutu zaznacz atrybut, dla którego chcesz określić elementy członkowskie, które powinny być rozpatrywane przez rola bazy danych.
Specjalnie odmawiać dostępu niektórym członkom atrybut, wprowadź wyrażenie MDX dla atrybut tych członków w Odmowa zestaw elementów członkowskich pole.Inni członkowie atrybut będzie widoczny.
W szczególności Udziel dostępu tylko do niektórych członków, wprowadź wyrażenie MDX dla atrybut tych członków w Zestaw elementów członkowskich dozwolone pole.Inni członkowie atrybut będzie widoczny.